Les chercheurs en sécurité de Trend Micro ont découvert l'existence d'une opération de cyber espionnage toujours active qui a, jusqu'ici, compromis des ordinateurs appartenant à des ministères, des entreprises de technologie, des médias, des institutions de recherche universitaires et des organisations non gouvernementales de plus de 100 pays. L'opération, baptisée Safe par Trend Micro, utilise le phishing pour piéger des victimes potentielles avec des emails accompagnés de pièces jointes malveillantes. Les chercheurs de l'entreprise de sécurité ont décortiqué le fonctionnement de l'opération et publié leurs conclusions dans un document.

Leur enquête révèle que l'opération s'appuie sur deux groupes de serveurs de commande et de contrôle (C&C) qui servent, semble-t-il, à mener deux campagnes d'attaques distinctes avec des objectifs différents, mais diffusants le même malware. Dans la première campagne de phishing, les emails, dont l'objet concerne le Tibet et la Mongolie, sont accompagnés d'une pièce jointe en .doc qui exploite une vulnérabilité de Word corrigée par Microsoft en avril 2012. Selon les logs recueillis par Trend Micro sur les serveurs C&C, 243 ordinateurs - chacun a une adresse IP unique - de 11 pays différents ont été infectés. Cependant, les chercheurs ont constaté que seules trois adresses IP, localisées en Mongolie et au Sud-Soudan, étaient encore actives au moment de l'enquête.

L'Inde et les Etats-Unis en tête des victimes


Les logs des serveurs C&C utilisés pour la seconde campagne d'attaque ont permis de comptabiliser 11 563 adresses IP uniques dans 116 pays différents. Mais, selon les chercheurs de Trend Micro, le nombre réel de victimes est probablement beaucoup plus faible. « En moyenne, 71 victimes ont activement communiqué à un moment donné avec ces serveurs de commande et de contrôle au cours de l'enquête », ont-ils déclaré. Les emails utilisés pour cette seconde série d'attaques n'ont pas été identifiés, mais la campagne semble avoir eu une plus grande portée et les victimes sont plus dispersées géographiquement. Les cinq premiers pays en nombre de victimes sont l'Inde, les États-Unis, la Chine, le Pakistan, les Philippines et la Russie.

Le malware installé sur les ordinateurs infectés est principalement destiné à voler des informations, mais son action peut être étendue avec des modules supplémentaires. Les chercheurs ont ainsi trouvé sur les serveurs de commande et de contrôle des composants particuliers sous forme de plug-in, et des programmes prêts à l'emploi pouvant servir à extraire les mots de passe enregistrés dans Internet Explorer et Firefox de Mozilla, ainsi que des informations d'identification du Remote Desktop Protocol stockées dans Windows. « Il est toujours difficile de connaître les intentions et l'identité des assaillants. Cependant, nous pouvons dire que les logiciels malveillants de la campagne Safe ont été mis au point par un ingénieur en logiciel professionnel et qu'il est peut être lié à des groupes cybercriminels localisés en Chine », peut-on lire dans le document publié par les chercheurs de Trend Micro qui ajoutent : « L'individu a été formé dans une université de technologie de premier plan de ce même pays et semble avoir eu accès au référentiel de code source d'une société de services Internet ».

Les adresses IP qui servent à communiquer avec les serveurs de C&C ont été localisées dans plusieurs pays, mais essentiellement en Chine et à Hong Kong, comme le font remarquer les chercheurs. « Les attaques utilisent aussi le VPN et des outils de proxy, comme Tor, qui expliquent la diversité géographique des adresses IP ».